通过windbg 得到我们要 hook 的api 地址的方法以及 hook NtOpenProcess 的例子。。。

最新推荐文章于 2021-07-24 17:40:30 发布
最新推荐文章于 2021-07-24 17:40:30 发布
阅读量2.8k 收藏 1
点赞数
分类专栏: 驱动内核 文章标签: hook api descriptor service table c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xum2008/article/details/5270720
版权

今天,突然想对 hook 进行一些学习,因为对于一些底层的操作,都是在于ANTI-HOOK 。。。然后才能得到最后的使用权,为此,

自己也要掌握这种很强大的编程手法,那么首先,我们应该知道的一些是,在 win2000 以后,对于 SSDT 的操作,系统都是写了保护的,

那么我们首先应该做的是怎么样来解除掉它们,替换我们的执行地址,当然在这里,我们必须要知道这个结构:

typedef struct _SERVICE_DESCRIPTOR_TABLE
{
 PVOID   ServiceTableBase;
 PULONG  ServiceCounterTableBase;
 ULONG   NumberOfService;
 ULONG   ParamTableBase;

}SERVICE_DESCRIPTOR_TABLE,*PSERVICE_DESCRIPTOR_TABLE;   // 由于KeServiceDescriptorTable只有一项,这里就简单点了

他就是SSDT 表了,这张表就类似于 PE 文件中的 IAT ,存储着一系列的函数地址,我们都知道,现在的系统都是基于保护模式的,当我们要访问内核的时候,MS 已经为我们定义好了接口,那么当我们调用哪些接口的时候,哪些接口会在这张表中查找需要的服务的地址函数,

我们在这里可以截获我们要过滤的函数请求,达到我们的目的。。。

 

这个结构有四个域:

反汇编得到:

 

HookApi!_SERVICE_DESCRIPTOR_TABLE
   +0x000 ServiceTableBase : Ptr32 Void
   +0x004 ServiceCounterTableBase : Ptr32 Uint4B
   +0x008 NumberOfService  : Uint4B
   +0x00c ParamTableBase   : Uint4B

 

//我们的替代的函数,是一个裸函数,编译器不会像其他的函数一样处理它。。。
__declspec(naked) NTSTATUS MyApiAddress(PHANDLE  phandle,
            ACCESS_MASK DesireAddress,
            POBJECT_ATTRIBUTES pObjectAttributes,
            PCLIENT_ID  pClientID)
{
 KdPrint(("NtPOpenProcess...Call"));

 __asm
 {
  push 0C4h;                                      //这两个域,是通过我们要HOOK 的 API 定位得到的
  push 804daaa8h;                 

  jmp  [g_JmpServerAddr];
 }
}

 

kd> u 805c2296
nt!NtOpenProcess:

这里是我们要调用的函数的入口点:

两个参数,遵循 C 的调用方式,手工清栈。。。就得到了
805c2296 68c4000000      push    0C4h                       //
805c229b 68a8aa4d80      push    offset nt!ObWatchHandles+0x25c (804daaa8)
805c22a0 e86b6cf7ff      call    nt!_SEH_prolog (80538f10)


805c22a5 33f6            xor     esi,esi
805c22a7 8975d4          mov     dword ptr [ebp-2Ch],esi
805c22aa 33c0            xor     eax,eax
805c22ac 8d7dd8          lea     edi,[ebp-28h]
805c22af ab              stos    dword ptr es:[edi]

有两种方法获得我们要HOOK 的地址,可以通过函数,推荐PVOID 
  MmGetSystemRoutineAddress(
    IN PUNICODE_STRING  SystemRoutineName 
    ); 

比较方便,不用涉及其他的操作,返回的是要查的地址。。。。

不然的话,需要查MS 定义的服务描述表,而且个个平台还不一样,难以做到跨平台。。。

 

上边就完成了我们的导向工作,只要获取到了需要跳转的地址就 OK 了。。。

extern PSERVICE_DESCRIPTOR_TABLE    KeServiceDescriptorTable; // KeServiceDescriptorTable为导出函数

 

操作之前:

我们需要:

// 去掉内存保护
VOID ClearMemoryProtect()
{
 __asm           
 {
  cli;
  mov eax, cr0;
  and eax, not 10000h;
  mov cr0, eax;
 }
}

 

// 跳转到NtOpenProcess函数头+10的地方,这样在其前面写的JMP都失效了,完成替换

 g_JmpServerAddr = (ULONG)NtOpenProcess + 10;  

 

 

// 回复内存的保护
VOID RecoverMemoryProtect()
{
 __asm          
 {
  cli;
  mov eax, cr0;
  or eax, not 10000h;
  mov cr0, eax;
  sti;
 }
}

 

 *((ULONG*)uAddress) = (ULONG)MyApiAddress;  // HOOK SSDT

 

去除内存的写保护,操作完成自后,回复之。。。。

然后我们就可以完成监视的功能。。。

 

 

 

专注成就专业_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C语言进程隐藏NTOpenprocess,64位下Hook NtOpenProcess的实现进程保护 + 源码 (升级篇 )...
weixin_32893479的博客
05-23 872
【PS: 如果在64位系统下,出现调用测试demo,返回false的情况下,请修改Hook Dll的代码】glhHook = SetWindowsHookEx(WH_SHELL,ShellHookProc, 0 , 0);//改成跟X86下一样的glhHook = SetWindowsHookEx(WH_SHELL,ShellHookProc,glhInstance, 0);2013.09.11...
使用WinDbg调试内核
Hvnt3r的博客
03-24 3194
知识点 WinDbg是微软提供的一个免费调试器,支持内核调试,也具有监控Windows系统交互的功能。 **驱动与内核代码:**Windows设备驱动简称为驱动,他让第三方开发商在Windows内核模式下运行代码。驱动程序常驻与内存,并且负责响应用户态程序的请求,而且应用程序不直接与驱动程序通信,而是直接访问设备对象,向具体的物理设备发送请求。设备对象由驱动程序创建和销毁,可以被用户态的程序直接访...
HOOK ntopenprocess
qq_41071646的博客
01-06 1014
先来说一下我对SSDT的体会把   我感觉SSDT 就是一张表  这个表里面 有很多数组  然后 算是 内核层的 导入表只不过 他是整个操作系统的导入表  然后里面有很多数组  然后当我们 调用 api的时候  应用层的api 会经过封装 可能会多传出一些  参数 比如 那张表  表的 地址 那个数组  然后 进去调用就好了  听群里的大佬说   x86 的ssdt 好像是固定的   但是 ...
Hook NtOpenProcess
07-21
Hook NtOpenProcess 描述字数补丁
内核编程之SSDTHook(2)Hook NtOpenProcess实现进程保护
zuishikonghuan的博客
03-11 7413
本博文由CSDN博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处: 上一篇博文“内核编程之SSDTHook(1)原理(地址:)”中,介绍了SSDTHook的原理,这一篇博文,我们来写一个实例,通过Hook NtOpenProcess来的实现进程保护。 我之前写过两篇Ring3下的API Inline Hook的博文,这两篇博文通过Inline
APIHOOK窗口.rar
04-04
APIHOOK窗口技术是一种在软件开发中用于拦截和修改应用程序调用特定系统API(Application Programming Interface)行为的方法。这种技术在很多场景下都有应用,比如调试、监控、安全防护以及功能扩展等。APIHOOK窗口...
HOOK api 实现封包截取-易语言
06-13
1. **API Hook原理**:API Hook是通过在调用目标API之前插入一段代码(通常是一个函数或过程)来实现的。这段代码可以记录、修改或者控制API调用的行为。在Windows操作系统中,常见的Hook技术包括SetWindowsHookEx...
hookdll060715.rar_钩子与API截获_Asm_
08-12
4. **API截获技术**:介绍如何在钩子函数中实现API调用的截获,可能包括跳转表(JMP Table)、替换原函数地址(Detouring)等方法。 5. **回调机制**:了解如何处理钩子回调函数,处理原始API调用以及执行自定义...
SSDT.rar_WINDOWS ssdt_hook_ssdt_ssdt hook_windows xp hook ss
09-21
在描述中提到的"通过例子介绍了Windows系统服务调用的基本知识及Hook SSDT的方法"意味着该压缩包可能包含了一次实践教程,详细讲解如何理解和应用SSDT Hook。系统服务调用是Windows系统中的核心机制,应用程序通过这...
windbg_js_scripts:玩WinDbg JS API的玩具脚本
05-28
WinDbg中,加载config.xml文件并保存设置: 0:000> .settings load \path\to\windbg_js_scripts\config.xml[...]\windbg_js_scripts\config.xml has been loaded successfully.0:000> .settings saveSettings ...
API hook(inline)超简入门代码
07-20
简单的API hook的入门用代码参考,hook目标MessageBoxW。hook形式:inline hook
HOOK NtOpenProcess 保护指定进程
laobobo999的专栏
05-25 805
 汇编写的一个简单的HOOK SSDT例子
[反调试&进程保护] 使用 hook 的方式保护自身进程
墨鱼菜鸡
04-16 326
以下 HOOK 需要 全局: 函数名作用HookNtOpenThread创建内核线程防止调试器在内部创建线程NtOpenProcess打开进程防止OD等调试工具在调试列表中看到kiAttachProcess附加调试进...
Hook中大部分的API
weixin_45678402的博客
07-24 365
状态:会发生改变的数据 作用(Effect):将数据映射到视图的函数; 4 利用自定义Hook可以实现UI和行为的分离; function useCount(initialValue) { const [count, setCount] = usestate(initialValue); return [ count, () => { setCount(count + 1) } ]; } export default () => { const [count1, a
5.SSDT再增加一个NtReadVirtualMemory函数
Mikasys的博客
11-04 458
代码如下,如果看不懂请看上一篇文章 Ring0 #include <ntifs.h> #include <ntstatus.h> typedef struct _KSYSTEM_SERVICE_TABLE { PULONG ServiceTableBase; //函数地址表基地址 PULONG ServiceCounterTableBase; //被访问了多少次 ULONG NumberOfService; //表中服务函数的总数 PUCHAR ParamTable
制作API HOOK
编程资料收集与共享交流
11-25 885
 由于近期的项目需要,特此研究下API HOOK。研究前,我在网上找了许多资料,也大致了解了一下原理。其实说白了也不是很困难。核心思想就是用你自己的处理过程,取代掉Windows的API处理。这非常类似于Java等的AOP。下面就是一些实现。首先是API Hook的核心代码了,这个代码即是用于替换函数指针。定义入口记录:type   PIMAGE_IMPORT_
C# APIHOOK,用send函数作为例子
zbc_vc的专栏
12-08 3536
http://blog.csdn.net/angeljanne87/article/details/6181811点击打开链接
自实现API, 过所有用户层HOOK
收集学习过程中对自己有帮助的牛人文章
12-10 1681
//绕过用户层HOOK,自实现API函数 //学习了郁金香驱动教学视频 043_绕过所有用户层HOOK(郁金香绕过的是FindWindow) //用相同的原理我实现了绕过SendMessageA() //实现过程中有一些感谢一并记录 //win xp x86 //__declspec(naked)作用: 生成纯汇编 #include #include //7C92E4F0 > 8BD4
windbg使用方法
最新发布
05-14
以下是Windbg的基本使用方法: 1. 打开Windbg,并打开要调试的程序 2. 在Windbg中设置断点 3. 运行程序 4. 程序运行到断点处时,Windbg会自动暂停程序执行,并在命令行窗口中显示当前执行的代码 5. 使用Windbg提供的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值